security update pyhton-apt WTF?

[c1ue]

Zitat ausm update:

* SECURITY UPDATE: Check that repository is trusted before downloading
files from it (LP: #1858973)

WTF? Sollte das nicht immer DER standard sein?

SECURITY UPDATE: Do not use MD5 for verifying downloadeds

Doppelt WTF?? MD5 ist schon seit Jahren für Kollisionen anfällig und schon lange nicht mehr empfohlen.

Haben die Jungs von den entsprechenden Paketen geschlafen? Sind unsere Systeme nun eventuell kompromittiert?

Ich bin echt überrascht, dass so was bei einer sonst echt professionellen Distribution passieren kann. Ich erinnere mich in diesem Kontext auch an Heartbleed, wo jemand "aus versehen natürlich" mal so richtig geschlafen hat. Stehen die Jungs etwa alle auf der Gehaltsliste?

[TRex]

Recherchier mal, seit wann debian (also apt nativ) das tut, bevor du dich aufregst, und welche Risiken dabei existieren/eliminiert werden.

[cronoik]

Sind unsere Systeme nun eventuell kompromittiert?

Es geht nicht um apt, sondern um einen Wrapper damit man apt ueber python ansteuern kann.

[c1ue]

Ok, hab was dazu gefunden. Die Einträge sind noch taufrisch und die bugs behoben:

https://bugs.launchpad.net/ubuntu/+sour ... ug/1858973

https://bugs.launchpad.net/ubuntu/+sour ... ug/1858972

Ich war wohl nur geschockt in dem Moment, als das update kam und ich dann gelesen habe, welche Art Fehler behoben wurden. Da ging mir erstmal die Kinnlade runter. Daher mein thread.

Seit wann apt selbst diese Prüfung durchführt, habe ich leider nicht rausfinden können. Wichtig ist jedenfalls nur, dass apt das hoffentlich schon die ganze Zeit richtig gemacht hat.

Insofern alles in Butter